Amazon Macie の調査結果を抑制する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果を抑制する

調査結果の分析を合理化するために、[suppression rules] (抑制ルール) を作成して使用できます。[suppression rules] (抑制ルール) は、Amazon Macie が調査結果を自動的にアーカイブするケースを定義する属性ベースのフィルター条件のセットです。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

たとえば、バケットがパブリックアクセスを許可せず、デフォルトで新しいオブジェクトを暗号化する場合は、S3 バケットが郵送先アドレスを含めることを許可するように決めることができます。この場合、次のフィールドのフィルター基準を指定する抑制ルールを作成できます: [Sensitive data detection type] (機密データ検出タイプ)、[S3 bucket public access permission] (S3 バケットパブリックアクセス許可)、および [S3 bucket default encryption] (S3 バケットのデフォルトの暗号化)。ルールは、フィルター基準に一致するfuture 調査結果を抑制します。

抑制ルールを使用して調査結果を抑制する場合、Macie は、ルールの基準を満たす機密データおよび潜在的なポリシー違反の発生について調査結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に [archived] (アーカイブ済み) に変更します。これは、調査結果がデフォルトで Amazon Macie コンソールに表示されないけれども、有効期限が切れるまで Macie には保持されることを意味します。Macie は 90 日間調査結果を保存します。

さらに、Macie EventBridge は抑制された調査結果をイベントとして、または Amazon に発行しませんAWS Security Hub。ただし、Macie は、抑制した機密データの調査結果に関連している [sensitive data discovery results] (機密データの検出結果) を引き続き作成して保存します。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果のイミュータブルな履歴を確実に保持できます。

注記

ユーザーのアカウントが複数の Macie アカウントを集中管理する組織の一部である場合は、アカウントごとに抑制ルールの仕組みが異なる可能性があります。これは、非表示にする結果のカテゴリと、Macie の管理者アカウントかメンバーアカウントかによって異なります。

  • ポリシー結果 — 組織のアカウントのポリシー結果を非表示にできるのは、Macie 管理者だけです。

    Macie 管理者アカウントを持っている場合に抑制ルールを作成すると、特定のアカウントを除外するようにルールを設定しない限り、Macie はそのルールを組織内のすべてのアカウントのポリシー結果に適用します。Macie メンバーアカウントをお持ちで、そのアカウントのポリシー結果を非表示にしたい場合は、Macie 管理者に問い合わせてください。

  • 機密データの検出 — Macie 管理者および個々のメンバーは、機密データ検出ジョブによって生成される機密データ検出結果を非表示にできます。Macie 管理者は、組織の機密データの自動検出を実行する際に Macie が生成する結果を非表示にすることもできます。

    機密データの調査結果を抑制またはアクセスできるのは、機密データの調査結果を作成するアカウントのみです。組織の Macie 管理者アカウントのみが、機密データの自動検出によって組織内のアカウントに対して生成される結果を非表示にしたり、その他の方法でアクセスしたりすることができます。

管理者とメンバーが実行できるタスクの詳細については、「」を参照してくださいAmazon Macie 管理者とメンバーアカウントの関係について理解する

抑制ルールを作成および管理するには、Amazon Macie コンソールまたは Amazon Macie API を使用できます。次のトピックでは、その方法を説明します。API のトピックには、AWS Command Line Interface(AWS CLI) を使用してこれらのタスクを実行する方法の例が含まれています。これらのタスクは、現在のバージョンの別のAWSコマンドラインツールまたはAWS SDKを使用して実行することもできます。AWS のツールと SDK に関する詳細については、「AWS での構築ツール」を参照してください。

抑制ルールを作成する

抑制ルールを作成する前に、抑制ルールを使用して抑制した調査結果を復元 (アーカイブ解除) できないことに注意してください。ただし、Amazon Macie コンソールで抑制された調査結果を確認し、Amazon Macie API を使用して抑制された調査結果にアクセスできます。

抑制ルールを作成するときは、フィルター基準、名前、および必要に応じてルールの説明を指定します。抑制ルールは、Amazon Macie コンソールまたは Amazon Macie API を使用して作成できます。

Console

Amazon Macie コンソールを使用して抑制ルールを作成するには、次のステップに従います。

抑制ルールを作成するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Findings] (調査結果) を選択します。

    ヒント

    既存の抑制ルールまたはフィルタールールを開始点として使用するには、[Saved rules] (保存されたルール) のリストからルールを選択します。

    また、事前定義された論理グループによる調査結果を最初にピボットしてドリルダウンすることで、ルールの作成を合理化することもできます。これを行うと、Macie は適切なフィルター条件を自動的に作成して適用します。これは、ルールを作成するために役立つ開始点となる場合があります。これを行うには、ナビゲーションペイン ([Findings] (調査結果) の下) の [By bucket] (バケット別)、[By type] (タイプ別)、または [By job] (ジョブ別) を選択し、次にテーブル内で項目を選択します。詳細パネルで、ピボットするフィールドのリンクを選択します。

  3. フィルターバーで、ルールで抑制する調査結果の属性を指定するフィルター条件を追加します。

    
									[Findings] (調査結果) ページのテーブルの上にあるフィルターバー。

    フィルター条件を追加する方法については、「フィルターの作成と調査結果への適用」を参照してください。

  4. ルールのフィルター条件の追加が完了したら、フィルターバーの上にある [Suppress findings] (調査結果の抑制) を選択します。

  5. [Suppression rule] (抑制ルール) の下で、ルールの名前を入力し、必要に応じて説明を入力します。

  6. [Save] (保存) を選択します。

API

抑制ルールをプログラムで作成するには、Amazon Macie API CreateFindingsFilterのオペレーションを使用し、必要なパラメータに適切な値を指定します。

  • actionパラメータでは、MacieARCHIVE がルールの基準を満たす調査結果を抑制するように指定します。

  • criterion パラメータでは、ルールのフィルター基準を定義する条件のマップを指定します。

    マップでは、条件ごとに、フィールド、演算子、およびフィールドの 1 つ以上の値を指定する必要があります。値のタイプと数は、選択するフィールドと演算子によって異なります。条件で使用できるフィールド、演算子、および値のタイプについては、「調査結果をフィルタリングするためのフィールド」、「条件での演算子の使用」、および「フィールドの値を指定する」を参照してください。

を使用して抑制ルールを作成するには、create-findings-filterコマンドを実行しAWS CLI、必要なパラメータに適切な値を指定します。次の例では、AWS リージョン現在あり、S3 オブジェクト内の郵送先住所 (他のタイプの機密データは含まない) の出現をレポートするすべての機密データの調査結果を返す抑制ルールを作成します。

この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws macie2 create-findings-filter \ --action ARCHIVE \ --name my_suppression_rule \ --finding-criteria '{"criterion":{"classificationDetails.result.sensitiveData.detections.type":{"eqExactMatch":["ADDRESS"]}}}'

この例は Microsoft Windows 用にフォーマットされており、読みやすさを向上させるためにキャレット (^) の行継続文字を使用します。

C:\> aws macie2 create-findings-filter ^ --action ARCHIVE ^ --name my_suppression_rule ^ --finding-criteria={\"criterion\":{\"classificationDetails.result.sensitiveData.detections.type\":{\"eqExactMatch\":[\"ADDRESS\"]}}}

実行する条件は以下のとおりです。

  • my_suppression_rule は、ルールのカスタム名です。

  • criterion は、ルールのフィルター条件のマップです。

    • [classificationDetails.result.sensitiveData.detections.type] は、[Sensitive data detection type] (機密データの検出タイプ) フィールドの JSON 名です。

    • eqExactMatch等価完全一致演算子を指定します

    • [ADDRESS] は、[Sensitive data detection type] (機密データ検出タイプ) フィールドの列挙値です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" }

ここで、arn は、作成された抑制ルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です。

フィルター基準のその他の例については、「Amazon Macie API を用いて調査結果をプログラムでフィルタリングする」を参照してください。

抑制された調査結果を確認する

デフォルトでは、Macie は Amazon Macie コンソールに抑制された調査結果を表示しません。ただし、フィルター設定を変更することで、コンソールでこれらの調査結果を確認できます。

抑制された結果をコンソールで確認するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Findings] (調査結果) を選択します。調査結果ページには、過去 90 日間に過去 90AWS リージョン 日間にMacie がアカウントを作成または更新した結果が表示されます。デフォルトでは、これには抑制ルールで抑制された調査結果は含まれません。

  3. フィルターバーで、以下のいずれかを実行します。

    • 抑制された調査結果のみを表示するには、[Current] (現在) を選択し、次に Archived (アーカイブ済み) を選択します。

    • 抑制された調査結果と現在の調査結果の両方を表示するには、[Current] (現在) を選択し、次に [All] (すべて) を選択します。

Amazon Macie API を使用して、抑制された結果にアクセスすることもできます。検索対象外の結果のリストを取得するには、ListFindingsオペレーションを使用して、truearchivedフィールドに指定するフィルター条件を含めます。AWS CLI を使用してこれを行う方法の例については、「調査結果をプログラムでフィルタリングするには」を参照してください。1 つ以上の抑制された調査結果の詳細を取得するには、GetFindings操作を使用し、取得する各調査結果に一意の識別子を指定します。

抑制ルールを変更する

抑制ルールの設定は、Amazon Macie コンソールまたは Amazon Amazon API を使用していつでも変更できます。ルールにタグを割り当てて管理することもできます。

タグは、AWS定義して特定の種類のリソースに割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で構成されています。タグを使用すると、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを識別、分類、管理するのに役立ちます。詳細については、Amazon Macie リソースのタグ付け を参照してください。

Console

Amazon Macie コンソールを使用して既存の抑制ルールの設定を変更するには、次のステップに従います。

抑制ルールを変更するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Findings] (調査結果) を選択します。

  3. [Saved rules] (保存されたルール) のリストで、変更する抑制ルールの隣にある [edit] (編集) アイコン ( A box with a pencil ) を選択します。

  4. 次のいずれかを実行します。

    • ルールのフィルター基準を変更するには、フィルターバーを使用して、ルールで抑制する調査結果の属性を指定するフィルター条件を追加します。この方法の詳細は、「フィルターの作成と調査結果への適用」を参照してください。

    • ルールの名前を変更するには、新しい名前を [Suppression rule] (抑制ルール) の下の [Name] (名前) ボックスに入力します。

    • ルールの説明を変更するには、新しい説明を [Suppression rule] (抑制ルール) の下の [Description] (説明) ボックスに入力します。

    • ルールにタグを割り当て、確認、または編集するには、[抑制ルール] の [タグの管理] を選択します。次に、必要に応じてタグを確認および変更します。1 つのルールには、最大 50 個のタグを含めることができます。

  5. 変更が完了したら、[Save] を選択します。

API

抑制ルールをプログラムで変更するには、Amazon Macie API UpdateFindingsFilterのオペレーションを使用します。リクエストを送信するときは、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。

id パラメータでは、変更するルールの一意の識別子を指定します。[ListFindingsFilterオペレーション] を使用してアカウントの抑制ルールとフィルタールールのリストを取得することで、この識別子が得られます。を使用している場合はAWS CLI、list-findings-filtersコマンドを実行してこのリストを取得します。

を使用して抑制ルールを変更するにはAWS CLI、update-findings-filterコマンドを実行し、サポートされているパラメータを使用して、変更する設定ごとに新しい値を指定します。たとえば、次のコマンドは、既存の抑制ルールの名前を変更します。

C:\> aws macie2 update-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example --name mailing_addresses_only

実行する条件は以下のとおりです。

  • [8a3c5608-aa2f-4940-b347-d1451example] は、ルールの一意の識別子です。

  • [mailing_addresses_only] は、ルールの新しい名前です。

コマンドが正常に実行された場合は、以下のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a3c5608-aa2f-4940-b347-d1451example", "id": "8a3c5608-aa2f-4940-b347-d1451example" }

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

同様に、次の例では、action パラメータの値を NOOP から ARCHIVE に変更することで、フィルタールールを抑制ルールに変換します。

C:\> aws macie2 update-findings-filter --id 8a1c3508-aa2f-4940-b347-d1451example --action ARCHIVE

実行する条件は以下のとおりです。

  • [8a1c3508-aa2f-4940-b347-d1451example] は、ルールの一意の識別子です。

  • [ARCHIVE] (アーカイブ) は、ルールの基準を満たす調査結果に対して Macie が実行する新しいアクションです (調査結果を抑制します)。

コマンドが正常に実行された場合は、次のような出力が表示されます。

{ "arn": "arn:aws:macie2:us-west-2:123456789012:findings-filter/8a1c3508-aa2f-4940-b347-d1451example", "id": "8a1c3508-aa2f-4940-b347-d1451example" }

ここで、arn は、変更されたルールの Amazon リソースネーム (ARN)で、id は、ルールの一意の識別子です

抑制ルールを削除する

抑制ルールは、Amazon Macie コンソールまたは Amazon Amazon API を使用していつでも削除できます。抑制ルールを削除すると、Macie は、ルールの基準を満たし、他のルールによって抑制されない調査結果を抑制しなくなります。ただし、Macie は、現在処理中であり、ルールの基準を満たす調査結果を引き続き抑制する可能性があることに注意してください。

抑制ルールを削除した後、ルールの基準を満たす調査が新規およびその後の出現は、[current] (現在) のステータスを持つようになります。これは、それらが Amazon Macie コンソールにデフォルトで表示されることを意味します。さらに、Macie はこれらの調査結果を Amazon EventBridge にイベントとして発行します。アカウントのパブリケーション設定に応じて、Macie は調査結果をにも発行しますAWS Security Hub。

Console

Amazon Macie コンソールを使用して抑制ルールを削除するには、次のステップに従います。

抑制ルールを削除するには
  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Findings] (調査結果) を選択します。

  3. [Saved rules] (保存されたルール) のリストで、削除する抑制ルールの隣にある [edit] (編集) アイコン ( A box with a pencil ) を選択します。

  4. [Suppression rule] (抑制ルール) の下で、[Delete] (削除) を選択します。

API

抑制ルールをプログラムで削除するには、Amazon Macie API DeleteFindingsFilterのオペレーションを使用します。id パラメータでは、削除する抑制ルールの一意の識別子を指定します。[ListFindingsFilterオペレーション] を使用してアカウントの抑制ルールとフィルタールールのリストを取得することで、この識別子が得られます。を使用している場合はAWS CLI、list-findings-filtersコマンドを実行してこのリストを取得します。

を使用して抑制ルールを削除するにはAWS CLI、delete-findings-filterコマンドを実行します。例:

C:\> aws macie2 delete-findings-filter --id 8a3c5608-aa2f-4940-b347-d1451example

[8a3c5608-aa2f-4940-b347-d1451example] は、削除する抑制ルールの一意の識別子です。

コマンドが正常に実行されると、Macie は空の HTTP 200 レスポンスを返します。それ以外の場合、Macie は HTTP 4xx またはオペレーションが失敗した理由を示す 500 レスポンスを返します。